新惡意軟件StrelaStealer竊取Outlook及Thunderbird的身份驗證

一種名為StrelaStealer的新惡意軟件正被用來竊取Outlook和Thunderbird電子郵件的身份驗證。

StrelaStealer 是由 DCSO CyTec 的研究人員於 2022 年 11 月初首次發現，西班牙文使用者為攻擊目標。

該惡意軟件通過附加在電子郵件的 ISO 檔分發。研究人員發現的其中一個例子是ISO包含一個可執行檔（'msinfo32.exe'），它通過「DLL搜尋順序挾持」載入捆綁的惡意軟件。

然而，在一個更有趣的例子中，研究人員觀察到一個包含LNK檔（Factura.lnk）和一個HTML檔（x.html）的ISO檔。x.html檔是一個多語言檔，可以根據使用不同應用程式而被視為不同格式的檔案。

x.html檔既是一個HTML檔，也是一個DLL程式，可以載入StrelaStealer惡意軟件或在預設Web瀏覽器中顯示誘餌文檔 (Decoy Document) 。當 Fractura.lnk 檔被執行時，它執行了 x.html 兩次，第一次使用 rundll32.exe 運行嵌入式 StrelaStealer DLL，再次作為 HTML 在瀏覽器中載入誘餌文檔。

資料來源：medium.com